<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>
  Release 2.7.0
</title>
</head>
<body bgcolor="#ffffff">
<h1>Versión 2.6.0</h1>

Se trata de una corrección de errores y mejora liberación, que requiere un mínimo de Java 8.<br><br>
Algunas de las mejoras más significativas incluyen:
<ul>
<li>Lanzamiento del navegador incluido por defecto - esto le permite lanzar navegadores de ZAP que están preconfigurados para proxy a través de ZAP e ignoran las advertencias de certificado por el certificado de raíz ZAP.</li>
<li>Permiten ZAP escuchar en múltiples direcciones o puertos</li>
<li>Indicación de nombre de servidor de soporte</li>
<li>Actualizada aplicación de motor NTLM - Esto soluciona los casos donde el dominio está siendo validado y mejora la interoperabilidad con otras implementaciones de NTLM (servidor)</li>
<li>Un montón de nuevas terminales de API - ver abajo para más detalles</li>
</ul>
Tenga en cuenta que si usted tiene cualquier problema con esta versión también hay un nuevo elemento de menú ' Ayuda/Info...' que proporciona la información necesaria sobre la instalación de ZAP, que debe incluir cualquier temas que subes.

<h2>Mejoras:</h2>
<ul>
<li>Número 1015: Indicación de nombre del servidor de la ayuda</li>
<li>Número 1313: Spider - permite configurar el límite de tamaño de las respuestas de un</li>
<li>Problema 1604: Importar archivo de directivas mediante API</li>
<li>Número 1620: Añadir punto final para obtener el número de avisos agrupados por nivel de riesgo</li>
<li>Tema 1681: Cambio 'Active Scan' para mostrar las solicitudes números pasadas en lugar de los primeros</li>
<li>Número 2411: Advertir si esta caducado dinámico certificado de CA raíz SSL</li>
<li>Número 2615: Filtrado informes ZAP para mostrar los elementos de alto riesgo</li>
<li>Problema de 3040: Exportar contenido de pestaña param</li>
<li>Número 3101: Permitir complementos para utilizar versiones semántica</li>
<li>Número 3156: Uso G1 como recolector de basura por defecto</li>
<li>Número 3253: Exportar URLs por contexto</li>
<li>Número 3365: Mejora: patrones por defecto de excluir Global adicional</li>
<li>Número 3367: Exponer la ruta de acceso de inicio dir de ZAP a través de la API de ZAP</li>
<li>Número 3374: Ajustar al más ancho de las columnas favorables usuario</li>
<li>Número 3381: i18n núcleo extensión nombres</li>
<li>Número 3387: Permitir esc cerrar AbstractFormDialog</li>
<li>Problema 3392: muestra todos los mensajes enviados por la araña</li>
<li>Número 3395: Añadir opción a spider de forma anónima con una sesión de</li>
<li>Número 3398: Aumentar el límite del valor de las variables de la escritura global</li>
<li>Número 3404: Agregar nuevo Default CSRF Token de OWASP CSRF Guard</li>
<li>Número 3408: Mejorar el manejo de errores cuando restablecer las opciones de</li>
<li>Problema 3443: Opciones de alertas de exponer a través de la API de ZAP</li>
<li>Número 3446: Mejora: Añadir capacidad de exportar un mapa del sitio mediante el menú contextual</li>
<li>Número 3457: Permite para filtrar base vista "URL" por la URL base</li>
<li>Número 3460: Mejora: ofrecer ayuda para encontrar el directorio de registro en la interfaz de usuario</li>
<li>Número 3461: Mejora: ver API no funciona al navegador no usa ZAP como proxy</li>
<li>Número 3476: Permitir que las reglas pasivas elegir el tipo de mensajes</li>
<li>Número 3481: Tablas de exportación a través de la interfaz de usuario</li>
<li>Problema de 3498: Leve mejora: soporte mismas columnas en los resultados como historial</li>
<li>Problema de 3500: Permiten para administrar etiquetas de mensajes en varias pestañas</li>
<li>Cuestión 3508: Utilizar más reciente ECMAScript motor si está disponible</li>
<li>Número 3514: Permiten para obtener varios mensajes por ID</li>
<li>Emisión 3521: Solicitud mejora: agregar filtro a Panel de opciones de las reglas de exploración pasiva</li>
<li>Número 3527: Actualizar script base para python 3</li>
<li>Problema de 3529: Permite añadir reglas pasivas</li>
<li>Número 3533: Botones de exportación tabla adicional</li>
<li>Tema 3539: Mejora: recoger mensajes para analizar antes de la exploración activa</li>
<li>3552 edición: Exponer etiquetas del mensaje mediante la API de ZAP</li>
<li>Número 3559: ZAP opción API para emitir informe en formato JSON</li>
<li>Problema 3574: Mostrar el nombre del Add-on en el panel de extensiones</li>
<li>Tema 3587: Permite utilizar la configuración regional del sistema para el formato de</li>
<li>Número 3594: ZAP API permite especificar dominios/direcciones que API se servirá de</li>
<li>Número 3595: Imprimir msg args y error cuando no pudo analizar args</li>
<li>Número 3599: Siempre atacar nodos de datos impulsada por </li>
<li>Número 3619: Mostrar plugin como OFF, en los paneles de la política, si</li>
<li>Número 3626: Permite borrar los mensajes con atajo de teclado</li>
<li>Edición 3676: Mejora: eliminar alerta solo usando el api</li>
<li>Problema de 3681: Utilizar número spinner para tiempo de espera de conexión</li>
<li>Número 3686: Permiten para seleccionar IDs CWE/WASC y fuente de alerta</li>
<li>Número 3688: Mostrar ID/nombre del escáner en la Alert tab</li>
<li>Número 3691: Modernizado y refinados informes HTML</li>
<li>Número 3700: Asegurar el panel con errores de validación es visible</li>
<li>Número 3714: Spider - informe # de nuevas terminales de descubierto</li>
<li>Número 3727: Sitios árbol alfa tipo debe ignorar el método HTTP</li>
<li>Problema de 3733: Ascan API - retorno cuenta alerta para cada escáner</li>
<li>Número 3739: Permite saltar espera de escáneres</li>
<li>Problema de 3765: Mostrar conteo de alerta en el diálogo de progreso de la exploración</li>
<li>Tema 3769: Añadir control de botón de barra de herramientas de versiones</li>
<li>Problema de 3770: Claro dockerfiles</li>
<li>Número 3782: Añadir msg y cuenta alerta a la tarea de análisis activa API vista</li>
<li>Asunto 3787: Escaneo pasivo añadido tiempo de espera</li>
<li>Problema de 3793: Permite filtrar el panel de opciones de teclado</li>
<li>Número 3808: añadido archivo de imagen de desnudo docker</li>
<li>Número 3810: Añadir soporte de salida JSON a zap-completo-scan.py</li>
<li>Cuestión 3818: Cambio haga clic en "Enviar..." para "Enviar a Manual solicitar Editor de"</li>
<li>Tema 3836: Permiten la dirección de bucle invertido de IPv6 acceder a la API por defecto</li>
<li>Problema de 3837: Añadir anoncsrf como nombre token anticsrf</li>
<li>Número 3851: Spider nuevo analizar consistencia de la interfaz de usuario</li>
<li>Cuestión 3871: Forma predeterminada, comprobación de actualizaciones en Inicio</li>
<li>Número 3878: Ayuda conexiones persistentes en la API</li>
<li>Problema de 3910: Permite saltar escáneres a través de la API</li>
<li>Número 3918: archivo de docker mejora</li>
<li>Problema de 3922: Refactorizar acceso objetivo en secuencias de comandos de docker</li>
<li>Número 3931: Menor realce al mensaje de cuerpo muy grande respuesta</li>
<li>Número 3977: Incluir mensajes de araña al comparar las sesiones</li>
<li>Edición 3983: Permiten ZAP escuchar en múltiples direcciones o puertos</li>
<li>Número 3992: Permite para habilitar código plegable en vistas de texto de cuerpo</li>
<li>Problema de 3993: Agregado casilla de verificación seguro al diálogo de la opción de devolución de llamada. </li>
<li>Número 4001: Permite borrar un contexto con atajo de teclado</li>
<li>Edición 4049: Permiten para eliminar alertas con atajo de teclado</li>
<li>Número 4053: Envoltura de línea AlertViewPanel</li>
<li>Número 4055: Nueva pantalla de bienvenida</li>
<li>Edición 4061: Actualización aplicación del motor NTLM</li>
<li>Edición 4063: Validar que cmd - y - daemon no establecen</li>
<li>Problema de 4066: Mejorar el mensaje de error en la secuencia de comandos API</li>
</ul>

<h2>Corrección de error:</h2>
<ul>
<li>Número 765: No funciona tecla Ctrl-F en reenviar / Manual de solicitud de cuadros de diálogo de Editor</li>
<li>Número 1222: Falsos positivos: exploración de XSS</li>
<li>Edición 1984: Siempre deben devolver alertas API 'evidencia' (y todas las otras teclas)</li>
<li>Número 2375: No pueden cambiar de modo sin barra de herramientas principal</li>
<li>Número 2496: ZAP sólo informe de la primera alerta de matriz</li>
<li>Número 2744: No se puede activar/desactivar el modo de usuario forzado sin barra de herramientas principal</li>
<li>Número 2756: Bloqueo de carga de clase al cargar script de httpsender de spidering y llamada a la API</li>
<li>Problema de 2989: Historial de redirección no registrado cuando enviar solicitud</li>
<li>Número 3154: Orden de ejecución de Plugins en exploración progreso detalles, ficha progreso</li>
<li>Número 3207: Historial borra cuando sesión persistió</li>
<li>Número 3284: Aceptar guiones bajos en nombres de host</li>
<li>Tema 3289: Proxy excluir URLs todavía procesadas por ZAP</li>
<li>Problema de 3350: wrong comparación de mensajes HTTP en queryEquals() método de clase HttpMessage</li>
<li>Número 3351: la url desaparecen cuando yo haga clic en</li>
<li>Número 3353: ZAP API ver: contextList método devuelve una cadena en lugar de la lista JSON</li>
<li>Edición 3359: Falta pantalla de opciones de conexión de datos ayuda</li>
<li>Número 3363: Spider mensajes vista incluye columna de etiquetas infrautilizadas</li>
<li>Número 3377: ZAP ya no puede cargar scripts no UTF8</li>
<li>Número 3382: Arreglar "error interno" en ScriptAPI</li>
<li>Número 3394: Opción Habilitar seguimiento de sesión (cookies) no persistieron</li>
<li>Número 3397: Desinstalar un archivo si no existe</li>
<li>Número 3411: Borrar caché certs al establecer certificado de CA raíz</li>
<li>Problema de 3440: Registro excepción cuando no pudo analizar el archivo de configuración proporcionado</li>
<li>Número 3456: Bug: pausa explora limpió hacia fuera cuando persiste una sesión</li>
<li>Número 3459: Mejora: previsualización de salida es confuso. Por favor aclarar.</li>
<li>Número 3490: Representación de fuentes pobres en linux</li>
<li>Problema de 3531: Scripts de Docker podrían atascarse en "Registros de exploración pasiva" aparentemente indefinidamente</li>
<li>Número 3555: Cambio de nombre de la sesión, no se actualiza el nombre de la ventana</li>
<li>Tema 3571: Requieren dependencias de extensión durante la extensión de carga</li>
<li>Tema 3590: Establecer estado de instalación complementos de mercado</li>
<li>Cuestión 3591: Correctamente comprobar si hay actualizaciones de Add-on en calc dep</li>
<li>Tema 3620: Devolver error correcto en faltan parámetros de autenticación</li>
<li>Edición 3621: Caché sincronización HistoryReference en ExtensionHistory</li>
<li>Número 3632: No cerrar sesión al cambiar sus propiedades</li>
<li>Cuestión 3633: "generar Anti CSRF prueba Form" no funciona</li>
<li>Número 3648: Correcto estado de opción adv en diálogo de araña</li>
<li>Número 3667: Problema de formato descuento Informe partida</li>
<li>Problema 3673: API: sendHarRequest produce un error si los redireccionamientos son verdaderos</li>
<li>Problema 3675: opción del árbol de sitios Mostrar solo las URL en el ámbito que no funciona</li>
<li>Problema 3692: manejo camino correcto zap-api-scan.py</li>
<li>Problema 3696: respuesta correcta de API para cambios de proxy salientes</li>
<li>Problema  3703: org.parosproxy.paros.db.DatabaseException: java.sql.SQLException: no puede emitir executeUpdate() o executeLargeUpdate() para selecciona</li>
<li>Número 3711: Instantáneas de la sesión podrían "romper" ejecutando exploraciones</li>
<li>Número 3723: Restablecer correctamente panel de opciones de base de datos</li>
<li>Número 3748: Saltar automáticamente analizadores dependiente</li>
<li>Número 3759: Actualización versión llegadas zap.sh script de Java 9</li>
<li>Tema 3771: Archivos de complemento que no se actualizan cuando se ejecuta la versión más reciente de ZAP/core</li>
<li>Tema 3779: No puede abrir la ventana de reenvío falta fuente</li>
<li>Problema de 3799: Declarar ExtensionDynSSL mem bajo apoyo</li>
<li>Número 3825: Error de mostrar si no se activa el certificado</li>
<li>Tema 3827: valor NULL mysql en donde en la cláusula</li>
<li>Número 3832: Errores en las plantillas de vectores de entrada</li>
<li>Número 3849: Pscanrule contenido tipo Missing no funciona con mensajes de spider</li>
<li>Problema de 3854: Error durante el uso de Api - ERROR ExtensionUserManagement - a los usuarios</li>
<li>Tema 3889: Inicializar el origen de la alerta siempre</li>
<li>Número 3895: JSON entrada Vector error si string ha citado caracteres</li>
<li>Problema de 3907: Normalizar validación de URL basado en formularios de login, uso</li>
<li>Número 3912: VariantDirectWebRemotingQuery podría colgar en bucle infinito</li>
<li>Tema 3914: Archivo de uso ZapVersions.xml en imágenes de Docker</li>
<li>Número 3927: zap-full-scan en docker intenta llegar a la red externa</li>
<li>Problema 3955: Base de datos demasiado pequeño para manejar cuerpos de solicitud de login grande</li>
<li>Problema 3965: Encabezado Cookie vacía provoca errores</li>
<li>Número 3969: Iniciar sesión/indicadores no persistió cuando</li>
<li>Número 4004: zap.bat debe usar %USERPROFILE% en lugar de %HOMEDRIVE%%HOMEPATH%</li>
<li>Tema 4013: Enviar hasta el punto final de devolución de llamada mientras que proxy a través de ZAP registra un error</li>
<li>Número 4014: Problema al intentar ignorar todas las reglas para una dirección URL</li>
<li>Tema 4028: Advertir cuando busque actualizaciones falla</li>
<li>Edición 4056: Utilizar el dominio como dominio para la autenticación NTLM</li>
<li>Edición 4065: Borrar una URL de padre en el historial no debe eliminar todas las URLs de niño</li>
</ul>

<h2>ZAP romper cambios de API:</h2>

<h3>Autenticación de acción / setAuthenticationMethod</h3>
El tipo de autenticación "formBasedAuthentication" ahora requiere la URL de inicio de sesión siempre en forma codificada. El cambio garantiza el inicio de sesión que se que utiliza/Enviar URL como fue especificado. Anteriormente aceptaría URL codificadas parcialmente pero se a codificado cuando se usa, conduce potencialmente a un URL diferente se utiliza/se envía.

<h3>Contexto vista / contextList</h3>

Este cambio rompe a los consumidores que manualmente analizar/extraían los nombres de la cadena. Se cambió la estructura de los datos devueltos para separar correctamente cada nombre:
<blockquote><pre><code>
{"contextList":["Context 1","Context 2"]}
</code></pre></blockquote>
y en la 
<blockquote><pre><code>
&lt;contextList type="list"&gt;
    &lt;contextName&gt;Context 1&lt;/contextName&gt;
    &lt;contextName&gt;Context 2&lt;/contextName&gt;
&lt;/contextList&gt;
</code></pre></blockquote>

En lugar de
<blockquote><pre><code>
{"contextList":"[Context 1, Context 2]"}
</code></pre></blockquote>
y en la 
<blockquote><pre><code>
&lt;contextList&gt;[Context 1, Context 2]&lt;/contextList&gt;
</code></pre></blockquote>

<h3>Núcleo de vista / setOptionUseProxyChain</h3>
Cambiado para volver <code>FAIL</code> Si el proxy saliente no fue habilitado (porque la necesaria dirección/nombre de host no se ha establecido anteriormente), antes de que volvería siempre <code>OK</code>.

<h2>ZAP API cambia criterios de valoración:</h2>

<h3>Núcleo de vista / alertas</h3>
Parámetro riskId opcional añadido para facilitar el riesgo de filtración. Donde riskId está en el rango 0 para informativo y 3 de alto. 

<h3>VER núcleo / número de Alertas</h3>
Parámetro riskId opcional añadido para facilitar el riesgo de filtración. Donde riskId está en el rango 0 para informativo y 3 de alto. 

<h3>Núcleo de vista / alertas</h3>
Añadido opcional <code>baseurl</code> parámetro, para filtrar las URL que se devuelven.

<h3>VER AScan / escaneos</h3>
Modificado para devolver también la cantidad total de alertas generadas y los mensajes enviados durante cada exploración.

<h3>VER AScan / escaneos</h3>
Modificado para devolver también la cantidad de alertas generadas por cada escáner.

<h2>ZAP API Nuevos puntos finales:</h2>

<h3>Núcleo de vista / alertas</h3>
Una nueva vista de Resumen de alertas que muestra cuentas de alertas por el nivel de riesgo. Opcionalmente, filtrados por un valor de baseurl. 

<blockquote><pre><code>
{"High":0,"Low":132,"Medium":39,"Informational":153}
</code></pre></blockquote>

<h3>Núcleo de vista / messagesById</h3>
Gets the HTTP messages with the given IDs.

<h3>Núcleo de vista / messagesHarById</h3>
Obtiene los mensajes HTTP con el ID dado, en formato HAR.

<h3>Núcleo de vista / optionAlertOverridesFilePath</h3>
Obtiene la ruta del archivo con anulaciones alerta. 

<h3>Núcleo de vista / optionMaximumAlertInstances</h3>
Obtiene el número máximo de instancias alerta para incluir en un informe. 

<h3>Núcleo de vista / optionMergeRelatedAlerts</h3>
Obtiene o no alertas relacionadas se combinarán en los informes generados. 

<h3>Núcleo de vista / zapHomePath</h3>
Obtiene la ruta al directorio de ZAP.

<h3>Ver localProxies / additionalProxies</h3>
Obtiene todos los servidores proxy adicionales que se han configurado.

<h3>Vista spider / optionAcceptCookies</h3>
Obtiene o no un proceso de araña debe aceptar las cookies mientras spidering.

<h3>Núcleo de acción / deleteAlert</h3>
Borra la alerta con el identificador dado.

<h3>Núcleo de acción / setOptionAlertOverridesFilePath</h3>
Establece (o elimina, si está vacío) reemplaza a la ruta del archivo con la alerta. 

<h3>Núcleo de acción / setOptionMaximumAlertInstances</h3>
Establece el número máximo de instancias alerta para incluir en un informe. Un valor de cero se trata como ilimitado. 

<h3>Núcleo de acción / setOptionMergeRelatedAlerts</h3>
Establece o no alertas relacionadas se combinarán en los informes generados. 

<h3>ACCIÓN ascan / importScanPolicy</h3>
Las importaciones a una política de exploración usando la ruta de sistema de archivo.

<h3>ACCIÓN ascan / skipScanner</h3>
Salta el explorador utilizando el ID de la exploración y el escáner.

<h3>Ver localProxies / addAdditionalProxy</h3>
Agrega a un nuevo proxy mediante los datos suministrados. Ver la <a href="../ui/dialogs/options/localproxy.html">Pantalla de opciones de Proxies locales</a> para obtener información detallada de los parámetros.

<h3>Ver localProxies / removeAdditionalProxy</h3>
Quita al proxy adicional con la dirección especificada y el puerto.

<h3>Acción de spider / setOptionAcceptCookies</h3>
Establece o no un proceso de spider debe aceptar las cookies mientras spidering.

<h2>Detalles de la vulnerabilidad</h2>

La siguiente vulnerabilidad se ha divulgado en una versión anterior de ZAP.<br>
Muchas gracias a todos los investigadores que éticamente nos han comunicado cuestiones a través de nuestro <a href="https://bugcrowd.com/owaspzap">bug bounty program</a>.<br> 
Si usted necesita más detalles acerca de esta vulnerabilidad entonces póngase en contacto con nosotros.

<h3>Desinstalador de Windows Vulnerable a DLL Hijacking</h3>

El desinstalador de Windows ZAP para 2.6.0 es vulnerable a DLL secuestro en Windows. Se trataba de una vulnerabilidad en el instalador de partido 3 º Install4j que ahora se ha solucionado.<br>
Tenga en cuenta que esto sólo puede ocurrir si una DLL maliciosa ya está en el camino.
<br><br>
<b>Crédito: Sajeeb Lohani (sml555) de ZDS a prueba de balas</b>


<h2>Véase también</h2>
<table>
<tr><td>&nbsp;&nbsp;&nbsp;&nbsp;</td><td><a href="../intro.html">Introducción</a></td><td>introducción a ZAP</td></tr>
<tr><td>&nbsp;&nbsp;&nbsp;&nbsp;</td><td><a href="releases.html">Lanzamientos</a></td><td>el conjunto completo de lanzamientos</td></tr>
<tr><td>&nbsp;&nbsp;&nbsp;&nbsp;</td><td><a href="../credits.html">Créditos</a></td><td>las personas y grupos que han hecho posible esta versión</td></tr>
</table>
</body>
</html>
